podejrzenie głębszej infekcji (rootkit?)

[L_Devil]

Witam!

Byłem właśnie u mojej ciotki, która ma problemy z Internet Exploler: IE uruchamia się, lecz bardzo szybko się wiesza; Powstają w pamięci dwa procesy IEXPLORE.exe, zabicie któregokolwiek z nich powoduje zdublowanie się drugiego (więc znowu są dwa). IE nie sposób zamknąć. Wpisanie jakiegokolwiek adresu w pasku adresu otwiera nowe okno. Po tej operacji widać tylko biały ekran. Oba procesy zużywają po ok. 30% procka i 20 mb (20000 kb) pamięci. W folderze H:\Windows znajdują się foldery IE6 i IE7 z dużą ilością DLLelek o dziwnych nazwach (niektóre zaczynają się od "dx", ale po kiego pakiety DirectXa w IE?)

Jako że miałem małe możliwości (nie ma na jej komputerze alternatywnych przeglądarek) nie mogłem ściągnąć żadnego programu do tworzenia logów. Jutro zamierzam wybrać się tam drugi raz z odpowiednimi narzędziami na Live-CD i pen-drivie. Pytanie moje brzmi: Co zabrać ze sobą? HijackThis i SillentRunners oczywiście, ale coś poza tym? I drugie pytanie - czy ktoś spotkał się wcześniej z czymś takim? Na to pierwsze będę wdzięczny za odpowiedź do jutra, to drugie może zaczekać

Drugą rzeczą jaką zauważyłem, a która jest nie mniej niepokojąca, jest dziwna reakcja komputera na polecenie DIR w konsoli:

Start->Uruchom->cmd
>H:
>dir

<TU LISTA>
9 plik(ów) 44a8a7 bajtów

(Poza folderami na liście widoczne są cztery pliki w rozmiarach każdego widnieje literka 'a')

Wchodzę na dysk H: i przeglądam owe cztery pliki. Ich rozmiar całkowity:
401751 bajtów

Nie zgadza się ani dziesiętnie, ani szesnastkowo.

Pokazywanie ukrytych plików oczywiście włączone

[Kuba1]

Hijackthis, Silentrunners, ComboFix, SDFix, FixWareOut, SmitFraudFix.

Gmer 2 logi na ustawieniach.

1)>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika
2) >>Rootkit>>zaznaczone tylko "Usługi" oraz "Pokaż wszystko">>Szukaj>>Kopiuj>>CTRL+V do Notatnika

SmitFraudFix z opcji nr 2 w trybie awaryjnym.

Instrukcja SDFix:

Pobierz narzędzie SDFix


*Klikamy 2 krotknie na ikonę SDFix.exe,program wypakuje się domyślnie do lokalizacji C:\SDFix

*Wchodzimy do trybu awaryjnego z obsługą sieci:
>>>>>>Jak wejść do trybu awaryjnego z obsługą sieci?

*F8 podczas bootowania systemu.
*Używamy narzędzia BootSafe.exe zaznaczamy opcje Safe Mode- Networking i klikamy reboot

*Gdy już jesteśmy w trybie awaryjnym,wchodzimy do folderu SDFix i uruchamiamy narzędzie klikająć
2-krotnie na plik RunThis.bat lewym przyciskiem myszy.

*Wciskamy Y co uruchomi proces usuwania

*Kiedy proces usuwania się zakończy wciskamy dowolny klawisz>>nastąpi restart.

*Po restarcie SDFix dokończy proces usuwania,kiedy w oknie narzędzia SDFix pojawi się napis Finished
klikamy dowolny klawisz,narzędzie zakończy swoją pracę,na pulpicie załadują się ikony.

*Wchodzimy do folderu SDFix i kopiujemy zawartość pliku tekstowego Report.txt i wklejamy go na forum

Autor postu otrzymał pochwałę

[wojtas]

pisz w tym temacie:

http://forum.programosy.pl/reset-ustawie-komputera-vt85591.html

[Red]

Ten otwieramy.....

[L_Devil]

Problem o którym pisałem powyżej, a problem z tamtego zablokowanego tematu to dwie różne kwestie;
Tym niemniej log z ComboFix:

Kod: Zaznacz wszystko

ComboFix 07-11-01.1 - Piotrek 2007-11-01 21:37:48.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.1549 [GMT 1:00]
Running from: G:\Documents and Settings\Piotrek\Pulpit\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\WINDOWS\system32\aspi32.exe
G:\WINDOWS\system32\Cfx32.lic
G:\WINDOWS\system32\cfx32.ocx

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm


(((((((((((((((((((((((((   Files Created from 2007-10-01 to 2007-11-01  )))))))))))))))))))))))))))))))
.

2007-11-01 20:23   51,200   --a------   G:\WINDOWS\NirCmd.exe
2007-10-28 22:08   <DIR>   d--------   G:\Documents and Settings\Piotrek\Dane aplikacji\OpenOffice.org2
2007-10-28 21:54   <DIR>   d--------   G:\Program Files\OpenOffice.org 2.3
2007-10-28 11:10   <DIR>   d--------   G:\WINDOWS\system32\Futuremark
2007-10-22 20:32   <DIR>   d--------   G:\Documents and Settings\Piotrek\.thumbnails
2007-10-22 20:15   <DIR>   d--------   G:\Documents and Settings\Piotrek\.gimp-2.2
2007-10-12 11:35   228,656   --a------   G:\WINDOWS\system32\ae700main.dat
2007-10-11 20:15   <DIR>   d--------   G:\Program Files\Common Files\GTK
2007-10-04 21:29   109,056   --a------   G:\WINDOWS\system32\imsispd.exe
2007-10-04 21:29   11,776   --a------   G:\WINDOWS\system32\imsispd.dll
2007-10-04 21:29   4,608   --a------   G:\WINDOWS\system32\imslevel.dll
2007-10-02 15:13   <DIR>   d--------   G:\Documents and Settings\Piotrek\Dane aplikacji\Subversion

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-01 20:37   357   ----a-w   G:\Documents and Settings\Piotrek\.cb_layout.bin
2007-11-01 19:50   ---------   d-----w   G:\Documents and Settings\LocalService\Dane aplikacji\VMware
2007-11-01 19:50   ---------   d-----w   G:\Documents and Settings\All Users\Dane aplikacji\VMware
2007-10-28 16:12   ---------   d-----w   G:\Documents and Settings\Piotrek\Dane aplikacji\VMware
2007-10-28 12:37   ---------   d-----w   G:\Program Files\Common Files\Wise Installation Wizard
2007-10-28 12:37   ---------   d-----w   G:\Program Files\AGEIA Technologies
2007-10-27 16:20   ---------   d--h--w   G:\Program Files\InstallShield Installation Information
2007-10-23 16:46   ---------   d-----w   G:\Program Files\Common Files\Adobe
2007-10-22 17:39   ---------   d-----w   G:\Documents and Settings\Piotrek\Dane aplikacji\.bittorrent
2007-09-29 15:05   ---------   d-----w   G:\Program Files\Your Application
2007-09-29 15:01   ---------   d-----w   G:\Documents and Settings\Piotrek\Dane aplikacji\ICSharpCode
2007-09-28 14:22   ---------   d-----w   G:\Documents and Settings\All Users\Dane aplikacji\Minnetonka Audio Software
2007-09-21 13:07   ---------   d-----w   G:\Program Files\Ubi Soft
2007-09-13 17:04   ---------   d-----w   G:\Program Files\WildGames
2007-09-13 17:03   ---------   d-----w   G:\Documents and Settings\All Users\Dane aplikacji\WildTangent
2007-09-07 13:55   6,173   ----a-w   G:\WINDOWS\system32\drivers\Entech.vxd
2007-09-07 13:55   27,672   ----a-w   G:\WINDOWS\system32\drivers\Entech.sys
2007-09-07 13:55   12,744   ----a-w   G:\WINDOWS\system32\drivers\Entech64.sys
2007-09-07 11:53   98,304   ----a-w   G:\WINDOWS\W2BNEUnin.exe
2007-09-06 10:05   94,416   ----a-w   G:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05   92,848   ----a-w   G:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03   23,152   ----a-w   G:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02   42,912   ----a-w   G:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00   26,624   ----a-w   G:\WINDOWS\system32\drivers\aavmker4.sys
2006-12-31 16:33   1,001,472   ----a-w   G:\Documents and Settings\Piotrek\SiegeScreenSaver.exe
2005-05-19 22:42   226,784   ----a-w   G:\Documents and Settings\Piotrek\OTCHLAN.EXE
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="G:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 12:03]
"SkyTel"="SkyTel.EXE" [2006-05-16 17:04 G:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 13:27 G:\WINDOWS\RTHDCPL.exe]
"RemoteControl"="F:\PowerDVD\PDVDServ.exe" [2005-12-07 22:57]
"QuickTime Task"="G:\Program Files\QuickTime\qttask.exe" [2006-06-03 09:29]
"nwiz"="nwiz.exe" [2006-06-01 17:22 G:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 17:22 G:\WINDOWS\system32\nvmctray.dll]
"NvCplDaemon"="G:\WINDOWS\system32\NvCpl.dll" [2006-06-01 17:22]
"NeroFilterCheck"="G:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"LanguageShortcut"="F:\PowerDVD\Language\Language.exe" [2006-05-18 11:29]
"iTunesHelper"="F:\iTunes\iTunesHelper.exe" [2006-02-23 15:45]
"ISUSScheduler"="G:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-14 16:18]
"ISUSPM Startup"="G:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-14 16:18]
"avast!"="F:\Avast4\ashDisp.exe" [2007-09-06 11:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="G:\Program Files\Messenger\msmsgs.exe" [2004-08-03 23:44]
"ctfmon.exe"="G:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44]

G:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\
Adobe Gamma.lnk - G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-21 19:18:02]
OpenOffice.org 2.3.lnk - G:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56]

G:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Device Detector 3.lnk - G:\Program Files\Olympus\DeviceDetector\DevDtct2.exe [2006-12-24 23:18:28]
InterVideo WinCinema Manager.lnk - F:\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-01-20 19:01:27]
Monitor Apache Servers.lnk - J:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe [2004-09-23 16:18:46]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\vs\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07d0e995-effb-11da-8f90-806d6172696f}]
\Shell\AutoRun\command - H:\CDSAMPLE\AUTORUN\AUTORUN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07d0e996-effb-11da-8f90-806d6172696f}]
\Shell\AutoRun\command - I:\AutoRun.exe

.
Contents of the 'Scheduled Tasks' folder
"2007-11-01 20:36:00 G:\WINDOWS\Tasks\Symantec NetDetect.job"
- G:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-01 21:42:14
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="J:/mysql/bin/mysqld-nt.exe"
.
Completion time: 2007-11-01 21:44:38 - machine was rebooted
G:\ComboFix2.txt ... 2006-11-07 18:51
.
   --- E O F ---


Żeby było śmieszniej, po restarcie zafundowanym przez ComboFix wszystkie problemy zniknęły

[Dzi@dek]

Bo Ci usunął pliki:

Other Deletions

G:\WINDOWS\system32\aspi32.exe
G:\WINDOWS\system32\Cfx32.lic
G:\WINDOWS\system32\cfx32.ocx